Показано с 1 по 15 из 15.

Email-Worm.Win32.Warezov.et (заявка № 32107)

  1. #1
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34

    Exclamation Email-Worm.Win32.Warezov.et

    Заблокирован диспетчер задач, редактор реестра.
    Загрузиться в безопасном режиме не возможно, система начинает грузить драйвера и в определенный момент просто перезагружается(проверку Dr. Web CureIt! не смог провести).
    Логи во вложении.
    Очень сильно подозреваю флешку, как ее можно полечить?(на ней много нужной информации).
    Помогите, пожалуйста.
    Спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34
    Сори, забыл логи приложить.
    Вложения Вложения

  4. #3
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34
    Да, и после авторизации появляется сообщение:

    Windows не удалось найти "'COCUME~1\user\LOCALS~1\Temp\winussr.exe'". Проверьте, что имя было введено правильно, и повторите попытку. Чтобы выполнить поиск файла, нажмите кнопку "Пуск", а затем выберите команду "Найти".

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\zom_a.ZOM\LOCALS~1\Temp\winussr.exe','');
     DeleteService('abp470n5');
     QuarantineFile('C:\WINDOWS\system32\drivers\tfokhn.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\khljsn.sys','');
     QuarantineFile('C:\WINDOWS\system32\wmdrtc32.dll','');
     QuarantineFile('c:\docume~1\zom_a.zom\locals~1\temp\maav.exe','');
     TerminateProcessByName('c:\docume~1\zom_a.zom\locals~1\temp\maav.exe');
     DeleteFile('c:\docume~1\zom_a.zom\locals~1\temp\maav.exe');
     DeleteFile('C:\WINDOWS\system32\wmdrtc32.dll');
     DeleteFile('C:\WINDOWS\system32\drivers\khljsn.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\tfokhn.sys');
     DeleteFile('C:\DOCUME~1\zom_a.ZOM\LOCALS~1\Temp\winussr.exe');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6 );
    ExecuteRepair(10 );
    ExecuteRepair(11 );
    ExecuteRepair(17 );    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам, выполните http://virusinfo.info/showthread.php?t=15927 у вас файловый вирус, после проверки CureIT скачайте заного AVZ и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34
    Выполнил скрипт, перезагрузился в безопасном режиме,
    на чистой машине скачал Cure IT и AVZ, записал на CD.
    Запустил в безопасном режиме полную проверку(в общем счете около 3 часов, восстановление системы отключено).
    Было вылечено 400 файлов(Win32.Sector.28682, Win32.Sector.12, Adware.Mycentia.3)
    После проверки загрузил ОС(обычная загрузка) и выполнил полную проверку еще раз. Ничего не найдено.
    Запустил AVZ, обновил базы, выполнил стандартные скрипты, карантин пустой.
    Сделал лог HiJackThis.
    Логи прикладываю.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('NdisFileServices32');
     QuarantineFile('C:\WINDOWS\system32\drivers\tfokhn.sys','');
     TerminateProcessByName('c:\docume~1\zom_a.zom\locals~1\temp\wineuje.exe');
     QuarantineFile('c:\docume~1\zom_a.zom\locals~1\temp\wineuje.exe','');
     DeleteFile('c:\docume~1\zom_a.zom\locals~1\temp\wineuje.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\tfokhn.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  8. #7
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34
    карантин загрузил, повторяю логи.
    Прим. HiJackThis начал выдавать ошибку при запуске, скачал заново.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    лечимся заново от файлового вируса потом новые логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34
    Сделано.
    Прилагаю логи.
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Чисто...

  12. #11
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34
    да, симптомов никаких ненаблюдается.
    Спасибо за помощь!!
    А, подскажите, пожалуйста, как теперь можно проверить флешку, потому как подозреваю ее в первичном заражении и в повторном.

    Добавлено через 5 минут

    да и еще я сюда смартфон подкючал, он на UIQ3.
    Все говорят что для этой ОС нету вирусов, но мне почему-то не верится.
    И не может ли зловред спрятаться в недрах памяти смарта(даже не причиняя ему вреда), а вылезти при подключении к PC?
    Последний раз редактировалось zom; 16.10.2008 в 20:26. Причина: Добавлено

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Кросс-платформенных вирусов, которые работают и на ПК и на мобильнике нет, но сменную память заражать могут...

  14. #13
    Junior Member Репутация
    Регистрация
    10.10.2008
    Сообщений
    27
    Вес репутации
    34
    Сейчас никаких симптомов заражения нет.
    Только при загрузке появляется сообщение с предложением отправить отчет в Microsoft. В сообщении говорится: igfxTray Module - обнаружена ошибка. Приложение будет закрыто. Приносим извинения за неудобства.

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 12
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\docume~1\\zom_a.zom\\locals~1\\temp\\wineuje.e xe - Trojan-Downloader.Win32.Agent.aivu (DrWEB: Trojan.DownLoad.6521)


  • Уважаемый(ая) zom, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Email-Worm.Win32.Warezov.hb.
      От wind086 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 29.10.2009, 13:05
    2. Email-Worm.Win32.Warezov.eu (.do)
      От for_igor в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.11.2006, 16:50
    3. Email-Worm.Win32.Warezov
      От Single в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 26.10.2006, 22:02
    4. Email-Worm.Win32.Warezov.xxx
      От Pugnator в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 26.10.2006, 17:07
    5. Email-Worm.Win32.Warezov
      От osa87 в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.10.2006, 00:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00328 seconds with 17 queries